Neues ChatGPT-Lockdown-Modus gegen Prompt-Injection und Datenabfluss-Risiken

Der Lockdown Mode ist speziell darauf ausgelegt, die letzte Phase eines Prompt-Injection-Angriffs zu unterbrechen: den unbefugten Transfer sensibler Daten an ein vom Angreifer kontrolliertes Ziel über ausgehende Netzwerkrequests. Wichtig ist, dass der Lockdown Mode nicht verhindert, dass Prompt Injections in den Kontext des Modells gelangen.

Ein bösartiger Payload, der in einer zwischengespeicherten Webseite, einem hochgeladenen PDF oder jedem anderen konsumierten Inhalt eingebettet ist, kann weiterhin das Verhalten des Modells und die Genauigkeit der Antworten beeinflussen.

Die Funktion konzentriert sich ausschließlich auf die Blockierung des Exfiltrationspfades und nicht auf den Injektionsvektor selbst.

Technischer Hintergrund

ChatGPT Lockdown-Modus Wenn der Lockdown-Modus aktiviert ist, werden folgende ChatGPT-Funktionen eingeschränkt: Live-Web-Browsing – Begrenzt auf zwischengespeicherte Inhalte; Ergebnisse können veraltet oder nicht verfügbar sein Bildabruf – ChatGPT kann keine aus dem Web bezogenen Bilder in Antworten abrufen oder anzeigen Tiefenanalyse – Vollständig deaktiviert Agentenmodus – Vollständig deaktiviert Canvas-Netzwerk – Benutzer können generierten Code, um Netzwerkanfragen auszuführen Dateidownloads – ChatGPT kann keine externen Dateien für die Datenanalyse herunterladen; manuell hochgeladene Dateien bleiben zugänglich Einstellungen für Speicher, Dateihochladen, Gesprächsteilung und Modelltraining werden durch den Lockdown-Modus nicht beeinflusst und bleiben unabhängig konfigurierbar.

OpenAI unterteilt App- und Connector-Konfigurationen in Risikostufen für Lockdown Mode-Umgebungen: Hochrisiko: Lese- oder Schreibzugriffe für nicht vertrauenswürdige Apps; Schreibzugriffe für vertrauenswürdige Apps mit weitem oder unklarem Sichtbarkeitsbereich; beide Szenarien werden ausdrücklich nicht empfohlen.

Mittleres Risiko: Sync-Connectoren und Lesezugriffe für vertrauenswürdige Apps bergen ein geringeres Risiko der Datenexfiltration, können jedoch dennoch sensible Quelldaten exponieren. Geringeres Risiko: Schreibzugriffe für vertrauenswürdige Apps sind nur zulässig, wenn Nebenwirkungen bestätigt nur für vertrauenswürdige Parteien sichtbar sind.

Technischer Hintergrund

Für verwaltete Workspaces deaktiviert Lockdown Mode nicht automatisch alle verbundenen Apps. Administratoren müssen rollenbasierte Zugriffskontrollen (RBAC) manuell konfigurieren, vertrauenswürdige Apps zuweisen und Connector-Berechtigungen auditen, um einen sinnvollen Schutz zu gewährleisten.

Administratoren können Lockdown Mode erzwingen, indem sie eine benutzerdefinierte Rolle erstellen, die als „Lockdown Mode"-Rolle bezeichnet wird, und Mitglieder oder Gruppen dieser Rolle zuweisen.

Die Compliance-API-Logs-Plattform bietet eine persistente Audit-Sichtbarkeit über die App-Nutzung, geteilte Daten und verbundene Quellen hinweg, unabhängig vom Status des Lockdown-Modus. Lockdown-Modus und Developer-Modus schließen sich gegenseitig aus; das Aktivieren des einen deaktiviert automatisch den anderen.

Technischer Hintergrund

Zudem hat der Lockdown-Modus keinen Einfluss auf den Zugriff auf das Codex-Netzwerk. OpenAI erkennt an, dass der Lockdown-Modus keinen vollständigen Schutz garantiert. Ein Restrisiko bleibt bestehen durch aktivierte Drittanbieter-Apps, unerwartete Kombinationen.

Prompt-Injections, die in hochgeladene Dateien versteckt sind, können auch bei aktiviertem Lockdown-Modus zu falschen oder manipulierten KI-Antworten führen. Private und selbstbediente Business-Nutzer können die Funktion über Einstellungen → Sicherheit → Erweiterte Sicherheit → Lockdown-Modus aktivieren.

Enterprise-Administratoren sollten die RBAC-Dokumentation und die Compliance-API-Richtlinien für eine unternehmensweite Bereitstellung konsultieren.